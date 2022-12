Cisco Systems hat eine Kombination aus Next Generation Firewall, zugehöriger Managementplattform, als auch seines VPN-Clients für sensible Umgebungen zertifizieren lassen. Auf den ersten Blick ist das kein ungewöhnlicher Vorgang, doch handelt es sich um eine Einstufung gemäß dem Evaluation Assurance Level 4+ (EAL4+).

Cisco-Zertifizierung: Aufwändig, aber sicher

Die EAL-Stufen gemäß Common Criteria for Information Technology Security Evaluation, kurz Common Criteria, auf Basis ISO15408 definieren Anforderungen an die Sicherheitsprüfung. Sie bezeichnen folglich die Stufe der Vertrauenswürdigkeit: je höher die EAL-Nummer, desto stärker die Anforderungen an den zu prüfenden Umfang, die Prüftiefe und die Prüfmethoden. Es gibt insgesamt sieben verschiedene EAL-Stufen (1 bis 7). Die Prüfung erfolgt durch einen qualifizierten Dienstleister und in Deutschland evaluiert und zertifiziert anschließend das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Prüfbericht.

EAL4 mit Zusätzen entspricht dabei der höchsten Sicherheitsstufe für Netzwerkkomponenten. Folglich erzeugt diese Stufe auch den höchsten Aufwand für die Hersteller. Der jeweilige Prüfungsumfang kann den zugehörigen Prüfprotokollen entnommen werden. Insbesondere für öffentliche Kunden und Betreiber kritischer Infrastrukturen, die einen hohen bis sehr hohen Schutzbedarf in Bezug auf die IT-Sicherheit haben, haben diese Zertifizierungen einen hohen Stellenwert.

Die entsprechende Zertifizierung sprach der TÜV Rheinland Nederland BV für Ciscos Firewall Firepower Threat Defense (FTD) in Version 6.4 in Kombination mit dem Firepower Management Center 6.4 aus. Diese Managementplattform ermöglicht es, multiple Firepower-Systeme über eine einheitliche Oberfläche zu verwalten. Auch der zugehörige VPN-Client AnyConnect in der Version 4.10 erhielt die Zertifizierung.

Damit kann die Firewall als Stateful Inspection Firewall mit Next-Generation-Firewall-Funktionen, Intrusion Detection/Prevention (IDS/IPS), sowie zur Terminierung von VPN-Clients für mobile Arbeitsszenarien auch in sensiblen Umgebungen zur Anwendung kommen. Um eine zertifizierte Konfiguration vorzubereiten, bietet der Hersteller eine passende Anleitung an.

Kritik: keine aktuellen Produkte

Aufgrund der aufwändigen Testprozeduren sind die Produkte häufig bei Veröffentlichung der Zertifizierung bereits nicht mehr besonders aktuell. So auch in diesem Fall: Cisco hat inzwischen den ehemaligen AnyConnect Client in den sogenannten Secure Client im Release 5.0 integriert. Auch die Firepower Threat Defense liegt mittlerweile in Version 7.3 als Secure Firewall Threat Defense und die Verwaltungsplattform wurde umbenannt in Secure Firewall Management Center.

(fo)